Panoramica dell'area di lavoro Log Analytics
Un'area di lavoro Log Analytics è un ambiente univoco per i dati di log provenienti da Monitoraggio di Azure e da altri servizi di Azure, ad esempio Microsoft Sentinel e Microsoft Defender per il cloud. Ogni area di lavoro ha un proprio repository dati e una configurazione specifica, ma potrebbe combinare i dati provenienti da più servizi. Questo articolo offre una panoramica dei concetti relativi alle aree di lavoro Log Analytics e fornisce collegamenti ad altre documentazione per altri dettagli su ognuno di essi.
Importante
È possibile che venga visualizzato il termine area di lavoro di Microsoft Sentinel usata nella documentazione di Microsoft Sentinel . Si tratta della stessa area di lavoro Log Analytics descritta in questo articolo, ma è abilitata per Microsoft Sentinel. Tutti i dati nell'area di lavoro sono soggetti ai prezzi di Microsoft Sentinel, come descritto nella sezione Costo .
È possibile usare una singola area di lavoro per tutte le raccolte di dati. È anche possibile creare più aree di lavoro in base ai requisiti, ad esempio:
- La posizione geografica dei dati.
- I diritti di accesso che definiscono quali utenti possono accedere ai dati.
- Impostazioni di configurazione come piani tariffari e conservazione dei dati.
Per creare una nuova area di lavoro, vedere Creare un'area di lavoro Log Analytics nel portale di Azure. Per considerazioni sulla creazione di più aree di lavoro, vedere Progettare una configurazione dell'area di lavoro Log Analytics.
Struttura dei dati
Ogni area di lavoro contiene più tabelle organizzate in colonne separate con più righe di dati. Ogni tabella è definita da un set univoco di colonne. Le righe di dati fornite dall'origine dati condividono tali colonne. Le query sui log definiscono le colonne di dati da recuperare e forniscono l'output a funzionalità diverse di Monitoraggio di Azure e ad altri servizi che usano aree di lavoro.
Avviso
I nomi delle tabelle vengono usati a scopo di fatturazione, quindi non devono contenere informazioni riservate.
Costo
Non sono previsti costi diretti per la creazione o la gestione di un'area di lavoro. Vengono addebitati i costi per l'inserimento dati nell'area di lavoro. Vengono addebitati i costi per il periodo di conservazione dei dati. Questi costi possono variare in base al piano dati di log di ogni tabella, come descritto in Piano dati di log.
Per informazioni sui prezzi, vedere Prezzi di Monitoraggio di Azure. Per indicazioni su come ridurre i costi, vedere Procedure consigliate di Monitoraggio di Azure - Gestione costi. Se si usa l'area di lavoro Log Analytics con servizi diversi da Monitoraggio di Azure, vedere la documentazione per tali servizi per informazioni sui prezzi.
Regole di raccolta dati per la trasformazione dell'area di lavoro
Le regole di raccolta dati (DCR) che definiscono i dati in arrivo in Monitoraggio di Azure possono includere trasformazioni che consentono di filtrare e trasformare i dati prima di essere inseriti nell'area di lavoro. Poiché tutte le origini dati non supportano ancora controller di dominio di dominio, ogni area di lavoro può avere un record di dominio di trasformazione dell'area di lavoro.
Le trasformazioni nella trasformazione dell'area di lavoro DCR vengono definite per ogni tabella in un'area di lavoro e si applicano a tutti i dati inviati a tale tabella, anche se inviati da più origini. Queste trasformazioni si applicano solo ai flussi di lavoro che non usano già una regola di raccolta dati. Ad esempio, l'agente di Monitoraggio di Azure usa un record di controllo di dominio per definire i dati raccolti dalle macchine virtuali. Questi dati non saranno soggetti alle trasformazioni in fase di inserimento definite nell'area di lavoro.
Ad esempio, potrebbero essere presenti impostazioni di diagnostica che inviano i log delle risorse per diverse risorse di Azure all'area di lavoro. Per la tabella che raccoglie i log delle risorse, è possibile creare una trasformazione per la tabella che filtra questi dati per trovare solo i record desiderati. Questo metodo consente di risparmiare sui costi di inserimento per i record non necessari. È anche possibile estrarre dati importanti da determinate colonne e archiviarli in altre colonne dell'area di lavoro per supportare query più semplici.
Conservazione e archiviazione dei dati
I dati in ogni tabella in un'area di lavoro Log Analytics vengono conservati per un periodo di tempo specificato dopo il quale vengono rimossi o archiviati con una tariffa di conservazione ridotta. Impostare il tempo di conservazione trovando un equilibrio tra la necessità di avere i dati disponibili e il costo ridotto per la conservazione dei dati.
Per accedere ai dati archiviati, è prima necessario recuperarli da una tabella dei log di analisi usando uno dei metodi seguenti:
| Metodo | Descrizione |
|---|---|
| Processi di ricerca | Recuperare i dati che corrispondono a criteri specifici. |
| Recupera | Recuperare i dati da un determinato intervallo di tempo. |
Autorizzazioni
L'autorizzazione per accedere ai dati in un'area di lavoro Log Analytics è definita dalla modalità di controllo di accesso, ovvero un'impostazione in ogni area di lavoro. È possibile concedere agli utenti l'accesso esplicito all'area di lavoro usando un ruolo predefinito o personalizzato. In alternativa, è possibile consentire l'accesso ai dati raccolti per le risorse di Azure agli utenti con accesso a tali risorse.
Vedere Gestire l'accesso ai dati di log e alle aree di lavoro in Monitoraggio di Azure per informazioni sulle diverse opzioni di autorizzazione e su come configurare le autorizzazioni.
Passaggi successivi
- Creare una nuova area di lavoro Log Analytics.
- Per considerazioni sulla creazione di più aree di lavoro, vedere Progettare una configurazione dell'area di lavoro Log Analytics.
- Informazioni sulle query di log per recuperare e analizzare i dati da un'area di lavoro Log Analytics.